黑客攻击 - Windows server 2003

时间:2012-07-30 15:17:03

标签: windows-server-2003 event-viewer windows-security

我在办公室电脑上看到了一些黑客攻击。上周五我的PC突然重启了两次,当我登录时,我的一些重要文件不存在。刚删除。 所以我检查了事件查看器以找到重启的原因。 我得到了这些日志,我在该日志上看到了某人的PC名称。任何人都可以向我解释一下吗?

谢谢!

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Account Logon
Type:Success A  Event ID:680
User:MyPC/Administrator
Computer: MyPC
Description:
  Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  Logon Account:Administrator
  Source Workstation:OtherPC
  Error Code:0x0

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Logon/Logoff
Type:Success A  Event ID:576
User:MyPC/Administrator
Computer: MyPC
Description:
   Special privileges assigned to new logon:
   User Name:Administrator
   DOMAIN: MyPC
   Logon ID: (0x0, 0x251E985)
   Privileges:SeSecurityPrivilege
   SeBackupPrivilege
   ...

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Logon/Logoff
Type:Success A  Event ID:540
User:MyPC/Administrator
Computer: MyPC
Description:
   Successful Network Logon:
   User Name:Administrator
   DOMAIN: MyPC
   Logon ID: (0x0, 0x251E985)
   Logon Type:3
   Logon Process:NtLmSsp
   Authentication Package:NTLM
   Workstation Name:OtherPC
   Logon GUID:-
   Caller User Name:-
   Caller Domain:-
   Caller Logon ID:-
   Caller Process ID:-
   Transited services:-
   Source Network Address:192.168.x.x
   Source Port:0

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Logon/Logoff
Type:Success A  Event ID:551
User:MyPC/Administrator
Computer: MyPC
Description:
   User initiated logoff:
   User Name:Administrator
   DOMAIN: MyPC
   Logon ID: (0x0, 0x2059c)

1 个答案:

答案 0 :(得分:1)

除了将计算机名称更改为“MyPC”和“OtherPC”之外,您是否以任何方式编辑了这些日志?例如,在事件查看器中,源应为“安全”,而不是“安全性”。这让我质疑这些日志的有效性。

在任何情况下,事件ID 540都是与您的计算机建立的远程连接,在本例中是来自OtherPC。鉴于OtherPC的IP地址,它似乎在您的网络中。你有权访问OtherPC吗?你能给我们一些来自OtherPC的事件查看器日志吗?

总而言之,这里没有任何东西看起来太乱了。第一个和最后一个日志是标准登录和注销日志。第二种通常遵循登录日志。如果没有更多的信息,我们就无法了解第三个。

相关问题
最新问题